Es kommt nicht oft vor, dass Angela Merkel deutliche Worte wählt, wenn es sich auch vermeiden ließe. Manchmal aber doch. Wenn die stets kontrolliert wirkende Kanzlerin solch einen Punkt macht, lohnt es sich, genau hinzuhören. So wie bei einem Treffen mit dem russischen Präsidenten Vladimir Putin Anfang Mai 2017 in Sotschi. Gefragt nach ihrer Sorge um eine Einmischung Russlands in die Bundestagswahl 2017, gab sie zu Protokoll, sie sei kein ängstlicher Mensch, aber man wisse, "dass das Thema Cyberkriminalität heute eine internationale Herausforderung ist, und auch (…), dass die hybride Kriegsführung in der russischen Militärdoktrin durchaus eine Rolle spielt".

Hybride Kriegsführung – der Begriff ist nicht ganz leicht zu fassen. Nach einem Papier des Politikwissenschaftlers Florian Schaurer (PDF) vom Zentrum Informationsarbeit Bundeswehr bezeichnet er "eine flexible Mischform der offen und verdeckt zur Anwendung gebrachten, regulären und irregulären, symmetrischen und asymmetrischen, militärischen und nichtmilitärischen Konfliktmittel mit dem Zweck, die Schwelle zwischen den insbesondere völkerrechtlich so angelegten binären Zuständen Krieg und Frieden zu verwischen". In den letzten Jahren gewinnen Hackerangriffe bei dieser Konfliktstrategie offenbar an Bedeutung.

Putin beeilte sich in Sotschi die Befürchtungen wegzuwischen. Die Vermutung, von der russischen Regierung gesteuerte Hackergruppen seien für Angriffe auf die Demokratische Partei im US-Wahlkampf verantwortlich, bezeichnete er als Gerüchte, die im amerikanischen innenpolitischen Kampf missbraucht würden. "Nie mischen wir uns ins politische Leben beziehungsweise in die politischen Prozesse in anderen Ländern ein."

Hintergrund: Was bisher geschah

Tatsache ist: Seit 2015 kam es immer wieder zu Hackerattacken auf Politiker und Parteien in Deutschland, den USA und Frankreich. Wer genau dahintersteckt, ließ sich bisher nicht klären. Was man aber weiß: In allen Fällen wurden ähnliche Methoden und IT-Infrastrukturen verwendet. Man hat es also vermutlich mit denselben Angreifern zu tun, einer Hackergruppe mit vielen Namen, die bekanntesten darunter: Fancy Bear und APT28. Ihr werden Verbindungen zum russischen Geheimdienst nachgesagt.

Wenn man die Angriffe, deren Methoden sowie die Leaks der letzten zwei Jahre nachvollzieht, zeigt sich ein Muster, das einen Leak noch vor der Bundestagswahl durchaus plausibel erscheinen lässt. Die Hackerattacken auf die Demokraten in den USA und die Kampagne des französischen Präsidentschaftskandidaten Emmanuel Macron waren spektakulär. Zumindest beim Wahlkampf um die US-Präsidentschaft zwischen Donald Trump und Hillary Clinton hat die damit verbundene Veröffentlichung interner E-Mails und anderer Dokumente der Demokratischen Partei eine erhebliche Rolle gespielt. Doch der erste in der Reihe der Angriffe auf westliche Politiker war der auf den Bundestag 2015.

Wie die "Zeit" berichtet, erhielten am 30. April 2015 mehrere Abgeordnete des Deutschen Bundestags eine E-Mail von einem Absender mit der Endung @un.org, der offiziellen Domain der Vereinten Nationen. Der Betreff lautete "Ukraine conflict with Russia leaves economy in ruins". Die E-Mail enthielt einen Link, der vermeintlich zu einem UN-Dokument führte. Wer ihn anklickte, landete jedoch auf einer Internetseite, die zwar wie eine Seite der UN anmutete, in Wahrheit aber unbemerkt eine Schadsoftware auf dem Rechner des Mailempfängers installierte.

Bundestags-Angriff speziell auf einzelne Empfänger zugeschnitten

Diese Art des Angriffs nennt man "Spear-Phishing". Angelehnt an den englischen Begriff für "Speerfischen" bezeichnet er ein Vorgehen, bei dem gezielt bestimmte Nutzer in eine Falle gelockt werden. Anders als bei normalen Phishing-Mails werden die Mails speziell auf den Empfänger zugeschnitten. Die Bundestags-Hacker etwa nahmen unter anderem Abgeordnete ins Visier, die sich mit der Ukraine-Krise befassen. "Die Vorbereitungszeit für so einen Angriff kann mehrere Monate betragen", erläutert ein Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Nachdem die Angreifer mit Hilfe der Schadsoftware in das IT-System des Bundestags gelangt waren, durchsuchten sie es nach Passwörtern. Nach wenigen Stunden hatten sie sich einen offiziellen Zugang zum Bundestagsnetz eingerichtet. Auf das Computersystem wirkten die Angreifer nun wie Abgeordnete oder Mitarbeiter des Bundestags. Am Ende seien die Computer von mindestens 16 Abgeordneten durchkämmt, Postfächer kopiert und Festplatten ausspioniert worden und vermutlich auch vertrauliche Daten abgeflossen, schreibt die "Zeit". 16 Gigabyte an Daten hätten die Hacker im Lauf des Angriffs, der von Fachleuten erst am 20. Mai beendet werden konnte, ausschleusen können.

Passworteingabe
© jamdesign / stock.adobe.com
(Ausschnitt)
 Bild vergrößernPassworteingabe
Hacker eigenen sich Passwörter an und tarnen sich dadurch als legitime Nutzer.

Die Urheber solcher Angriffe sind nicht leicht zu identifizieren. Sie legen mitunter falsche Fährten oder verwenden andere Verschleierungsmethoden. Laut von "netzpolitik.org" geleakten Dokumenten aus der "Kommission des Ältestenrates für den Einsatz neuer Informations- und Kommunikationstechniken und -medien" (IuK-Kommission) des Bundestags erklärte am 2. Juli 2015 der damalige BSI-Präsident Michael Hange dort, dass "das Muster des Angriffs und der Ausleitung von Daten dem bereits von anderen Stellen bekannten APT28" entspräche. Auch der IT-Experte Claudio Guarnieri, der Rechner der Linksfraktion untersucht hatte, fand seinem Bericht zufolge Hinweise darauf, dass der Angriff mit der Gruppe APT28 zusammenhängt.

Die Bundesregierung macht in der Antwort auf eine Kleine Anfrage der Linkspartei vom 8. Februar 2017 (PDF) ebenfalls APT28/Fancy Bear für die Angriffe verantwortlich: "Die Vorgehensweise der Angreifer (Angriffs-E-Mail, genutzte Schadprogramme) und die von ihnen genutzte Infrastruktur (Mailserver, C2-Server etc.) sind identisch zu denen von anderen Angriffen der APT28-Kampagne. Dies wurde durch eigene Erkenntnisse sowie durch öffentlich verfügbare Ergebnisse von Analysen Dritter (z. B. IT-Sicherheitsfirmen) nachgewiesen." Die Regierung sieht zudem "bei der Angriffskampagne APT28 eine Vielzahl von Indizien auf eine russische Urheberschaft", wie sie in der Antwort auf eine Kleine Anfrage der Linkspartei am 22. Dezember 2016 angab (PDF).

Hackerangriffe im US-Wahlkampf 2016

Der Angriff auf den Deutschen Bundestag im Frühjahr 2015 scheint jedoch nur der Startschuss für eine Reihe schwerer Cyberattacken auf westliche Politiker und Parteien gewesen zu sein, die bis heute anhalten. Im Sommer 2015 begann eine Gruppe namens APT29, die auch als Cozy Bear bekannt ist, einen Angriff auf die Demokratische Partei der USA. Die Hacker verwendeten einen kompromittierten Dateianhang einer E-Mail, um sich Zugang zum IT-System des Democratic National Committee (DNC), der nationalen Organisation der Demokraten, zu verschaffen. Das steht in einem gemeinsamen Bericht des US-Heimatschutzministeriums und des FBI vom Dezember 2016. Zwar ist dort lediglich von einem Angriff auf eine "politische Partei in den USA" die Rede. Wenn man sich die Details ansieht, kommt aber keine andere als die der Demokraten in Frage.

Ein zweiter Angriff auf das DNC, der später APT28 zugeschrieben wurde, begann im April 2016. APT28 verwendete einen Link in einer getarnten E-Mail, der die Empfänger darum bat, sicherheitsrelevante Passwörter zu ändern. Die neuen Passwörter verwendeten die Hacker, um in das System einzudringen. Die beiden Hackergruppen bewegten sich dann gleichzeitig und unabhängig voneinander in den Systemen. Sie konnten wahrscheinlich Informationen von "mehreren leitenden Parteimitgliedern" ausschleusen. Am 22. Juli 2016, mitten im US-Präsidentschaftswahlkampf, veröffentlichte die Enthüllungsplattform Wikileaks knapp 20 000 E-Mails mit 8000 Anhängen aus diesen Hacks.

Im Oktober und November 2016 folgten Wikileaks-Veröffentlichungen von mehr als 60 000 E-Mails, die mutmaßlich aus dem Besitz von John Podesta stammten, dem Wahlkampfmanager der Präsidentschaftskandidatin der US-Demokraten Hillary Clinton. Im März 2016 war demnach ein Gmail-Account Podestas gehackt worden, mit Hilfe eines Links in einer Spear-Phishing-Mail, der nur scheinbar zu den Sicherheitseinstellungen des Accounts führte. Der Inhalt der geleakten E-Mails sorgte für große politische Verwerfungen vor der US-Wahl am 8. November 2016. Unter anderem trat die DNC-Vorsitzende Debbie Wasserman Schultz zurück.

Angriffe auf deutsche Parteien 2016, Hackerangriffe in Europa 2017

Auch in Deutschland fanden unterdessen weitere Attacken auf Politiker statt. Im Mai 2016 berichtete das auf Serversicherheit spezialisierte japanische Unternehmen Trend Micro von einer Attacke gegen die CDU, die im April gestartet worden sei. In Lettland sei dafür ein gefälschter Webmail-Server der CDU aufgesetzt worden. Etwa zur gleichen Zeit seien gefälschte Domains zweier deutscher Webmail-Anbieter – web.de und GMX – in den Niederlanden registriert worden. Das Ziel seien koordinierte Spear-Phishing-Angriffe gegen hochrangige Nutzer unter anderem aus der CDU gewesen. Wie mehrere Abgeordnete gegenüber der "Zeit" bestätigten, erhielten sie per SMS eine Warnung von der Fraktionsgeschäftsführung, die darauf hinwies, dass es Anzeichen für IT-Angriffe durch E-Mails gebe, in der die CDU als vermeintlicher Absender genannt werde. Auch hinter diesem Angriff vermutet Trend Micro die Gruppe APT28/Fancy Bear.

Der Rechercheverbund aus "Süddeutscher Zeitung", NDR und WDR berichtete im September 2016, dass Politiker und Mitarbeiter mehrerer Parteien am 15. und 24. August Spear-Phishing-Mails mit schädlichen Links erhalten hatten, die vermeintlich aus dem Hauptquartier der Nato stammten. Bei diesem Angriff waren nicht nur die Parteien im Bundestag Ziel, sondern ebenfalls andere Teile wie die Junge Union, die Bundesgeschäftsstelle der Linken oder die CDU im Saarland, wo für März 2017 die Landtagswahl anstand. Auch in diesen beiden Fällen sah die Bundesregierung APT28/Fancy Bear am Werk.

In einem Bericht, der am 25. April 2017 veröffentlicht wurde, analysiert Trend Micro die Aktivitäten der Hackergruppe in den vergangenen zwei Jahren. Darin wird unter anderem von Spear-Phishing-Angriffen auf die CDU-nahe Konrad-Adenauer-Stiftung im April 2017 und die Wahlkampagne des französischen Präsidentschaftskandidaten Emmanuel Macron im März 2017 berichtet. Gegenüber Reuters erklärte ein Trend-Micro-Forscher, dass auch auf die SPD-nahe Friedrich-Ebert-Stiftung Attacken stattgefunden hätten. Zwei Tage vor der Wahl in Frankreich am 7. Mai veröffentlichten Unbekannte interne Dokumente aus einem Hack von Macrons "En marche!"-Bewegung. Dieser Leak zeigte jedoch keinen größeren Einfluss auf das Wahlergebnis. Macron gewann deutlich.

Abwehrmaßnahmen nach dem Bundestags-Hack

Wer die Angreifer auch sind und in wessen Auftrag sie auch handeln, der Bundestag muss sich auf neuerliche Attacken vorbereiten. Was wurde in den letzten zwei Jahren getan, um die Sicherheit der Netzwerke dort zu verbessern? Die Pressestelle antwortet schnell – und knapp: "Bezüglich Ihrer Anfrage gibt die Bundestagsverwaltung keine öffentlichen Erklärungen ab, da diese die Sicherheitsarchitektur des Bundestags betrifft." Ausführlicher nimmt ein Sprecher des BSI Stellung. Seit dem Angriff von 2015 bestehe eine Kooperation zwischen den Einrichtungen. Maßnahmen zur Sicherung der Netze seien vom Deutschen Bundestag übernommen worden. Auch biete das BSI so genannte Penetrationstests an, bei denen Experten das Vorgehen von Hackern imitieren und versuchen, die Sicherheitslücken einer IT-Infrastruktur zu finden und zu knacken.

Dabei ist das BSI für die Sicherheit des Bundestagsnetzes gar nicht zuständig. Das 1991 gegründete Bundesamt kümmert sich unter anderem um die IT der Bundesverwaltung, zu der etwa die Bundesministerien und die Bundesregierung gehören – nicht jedoch der Deutsche Bundestag. Doch um den Hackerangriff von 2015 zu beenden, mussten die IT-Leute im Haus das BSI und weitere Experten aus der Privatwirtschaft um Hilfe bitten. Anfang des Jahres 2017 bot das BSI außerdem neun ausgewählten Parteien Schulungen in Sachen IT-Sicherheitskompetenz an, wie aus Kreisen zu erfahren war, die mit dem Vorgang vertraut sind. Das Angebot erhielten die fünf Parteien im aktuellen Bundestag (CDU, CSU, SPD, Grüne, Linke), die in den Landtagen vertretenen Parteien, die auch zur Bundestagswahl zugelassen sind (FDP, AfD, Freie Wähler), und die Piratenpartei, die bis vor Kurzem in mehreren Landtagen vertreten war. Alle neun Parteien nahmen das Angebot an. In einigen Fällen ließen sich laut Insidern "hohe Parteifunktionäre" und "Parteivorstände" in den Schulungen persönlich vom BSI beraten.

Aktuelle Attacken auf private Mail-Accounts

Inhaltlich ging es dabei unter anderem um sichere mobile Kommunikation, etwa durch Verschlüsselung. Auch riskante Handlungsmuster im täglichen Umgang mit IT waren bei den Terminen Thema. Zudem unterstützt das BSI die Parteien bei der Beschaffung sicherer Hardware wie Handys und Tablets, indem es anbietet, diese vorab zu überprüfen. Die übrigen der 48 zur Bundestagswahl 2017 zugelassenen Parteien erhielten vom BSI schriftliche Hinweise zur IT-Sicherheit.

Diese Hinweise können die Parteien gut gebrauchen. Im Moment rollt wieder eine Angriffswelle, dieses Mal auf deutsche "Funktionsträger aus Wirtschaft und Verwaltung". Das teilte das BSI in einer Pressemeldung am 23. Juni mit. Dieses Mal haben es die Angreifer auf private Mail-Accounts bei Yahoo und Gmail abgesehen, genau wie bei dem verheerenden Angriff auf Hillary Clintons Wahlkampfmanager John Podesta. "Die verwendete Angriffsinfrastruktur hat Ähnlichkeit mit derjenigen, die bei den Angriffen und anschließenden Leaks gegen die Demokratische Partei in den USA und gegen die französische 'En marche!'-Bewegung eingesetzt wurde", heißt es in der Pressemeldung des BSI weiter. Und auch die gefälschten Domains in den Niederlanden, die an die Webmail-Dienstleister GMX und web.de erinnern, stehen noch bereit.

Bundeskanzlerin Merkel hat beim Treffen mit Russlands Präsident Putin in Sotschi im Mai schließlich gesagt, sie gehe "selbstbewusst davon aus, dass wir den Wahlkampf unter uns Deutschen unbeschadet werden durchführen können". Die nächsten Wochen werden nun zeigen, ob sie Recht behält.